Fragen zu Datensicherheit


Startseite Foren Installation Fragen zu Datensicherheit

3 Beiträge anzeigen - 1 bis 3 (von insgesamt 3)
  • Autor
    Beiträge
  • #5884
    zeitenwandler
    Teilnehmer

    Vorab bitte ich schon um Entschuldigung für die möglicherweise dummen Fragen. Aber ich habe mit diversen Suchbegriffen versucht, dazu hier schon Beiträge zu finden, bin aber nicht richtig fündig geworden. Ich bin auch unsicher, ob der Themenbaum „Installation“ der richtige ist.

    Kurz zu mir: Wir sind aktuell 3 Anwälte und nutzen bisher eine Software, die wir rein offline auf einem hausinternen Netzwerk betreiben ohne Verbindung nach draußen. Natürlich hat jeder Arbeitsplatz einen separaten PC, auf dem beA und E-Mails verarbeitet werden. Mandatsdaten werden auf diesen Rechnern aber nur zwischengespeichert und dann in das interne Netz übertragen. Das System läuft grundsätzlich seit vielen Jahren gut, aber die manuelle beA Nutzung und die Tatsache, dass E-Mails manuell verschoben werden müssen via z.B. USB Stick auf das interne Netz wird mittlerweile etwas lästig. Daher die Überlegung, auf ein neues System umzusteigen.

    Meine Bürokollegen haben Datenschutzängste. Vorab: Homeoffice oder Zugriff von außerhalb unserer Büroräume ist nicht gewünscht. Wenn man also ausblendet, dass man von außen zugreifen kann, kann man das System sicher betreiben bzw. kann man das überhaupt sicher verhindern mit z.B. einer Fritzbox, das von außen zugegriffen werden kann (mir ist bewusst, dass das hier vielleicht die Rubrik sprengt) ? Werden die Daten in der Datenbank irgendwie verschlüsselt gespeichert? Haben andere Nutzer schon Erfahrungen mit dem Thema?
    Meine Kollegen tendieren zu einer teuren Lösung, weil sie befürchten, unsere Daten würden sonst irgendwann im Netz stehen. Ich finde J-lawyer total faszinierend und würde es gerne nutzen.

    Ich bin dankbar für jede Argumentantionshilfe.

    #5887
    j-lawyer.org
    Administrator

    Hallo,

    solange in der FritzBox keine Portweiterleitung o.ä. konfiguriert ist, sind Angriffe von außen praktisch ausgeschlossen. Besondere Maßnahmen sind erforderlich, wenn Zugang von außen benötigt wird.

    Ich verstehe die Sache mit dem „internen Netzwerk“ nicht so ganz – hat dann jeder PC zwei Netzwerkverbindungen, einmal zu jenem Netz mit der FritzBox, und dann noch Zugang zu einem internen Netz mit separatem Router / DHCP-Server? Dann könnte der zentral installierte j-lawyer-Dienst ja in diesem internen Netzwerk laufen.

    „Teuer“ ist übrigens nicht gleichbedeutend oder korreliert mit „sicher“ – wenn Sie Informationen zu dieser „teuren“ Lösung haben, kann ich gern vergleichen / beraten.

    VG
    Jens / j-lawyer.org

    #5994
    Veraendert
    Teilnehmer

    Man kann es so weiter fahren, wie bisher, und keinen Zugriff aus dem Intranet auf das Internet zulassen. Dann aber gibt es auch keinen Zugriff auf Emails/BeA. Das wäre der sichere Weg.

    Lässt man den Zugriff auf das Internet hingegen zu, ist das immer eine potentielle Schwachstelle. Hier hilft auch die Verschlüsselung einer Datenbank nicht immer weiter. Während der Bearbeitung ist sie nicht verschlüsselt.

    Das Problem des Zugriffs von außen besteht aber zunächst einmal aufgrund des Betriebssystems. Ein falsch konfiguriertes Windows gibt fröhlich ganze Ordner frei. Ein gut konfiguriertes Linux, bei dem die Anwendenden keine sudo-Rechte haben und kein root-Passwort und bei dem die Datenträger verschlüsselt sind stellt aus Datenschutzsicht ein geringeres Risiko dar.

    Das Risiko, dass sich jemand die Daten von außen verschafft, ist aber zumindest auf dem einfachen Weg (Zugriff auf die Software von außen) gering, wenn die Zugangsmöglichkeit gar nicht erst geschaffen und nur intern mit J-lawyer gearbeitet wird. Das ist eine Frage des Routers, nicht der Software.

    Das Risiko, das dann noch besteht, ist der Datenverlust (daher: Backups machen, prüfen, ob sie sich einspielen lassen- und das regelmäßig. Notfallplan erstellen: Was mache ich, wenn meine Daten von einem Trojaner verschlüsselt wurden, wie werde ich wieder arbeitsfähig, wo ist mein Backup, wie spiele ich es ein -Passwörter!-, wie stelle ich sicher, dass es nicht auch verschlüsselt wird etc.). Dazu hat J-lawyer die meisten nötigen Hilfsmittel an Bord und lässt weitere zu (zusätzliches Backup mit DejaDup und Synchronisation mit Server Zuhause in meinem Fall).

    Das nächste Problem ist die Datenweitergabe von intern. Das ist weitgehend unabhängig von der eingesetzten Software und vom Router. Hier hilft dann konsequente Verschlüsselung von allem, was die Kanzlei verlässt und nicht BeA ist (wo ich daran, dass die Verschlüsselung unzureichend ist nichts ändern kann). Hier denke ich ebenfalls, dass J-lawyer wegen seiner Offenheit und Anpassbarkeit prädestiniert ist, für eine sichere Lösung zu sorgen.

    Der datenschutzkonforme Einsatz in TOM-Sicht setzt also vor allem voraus:
    – Eigenes Wissen oder Hilfestellung bei der Installation, insbesondere bei Backuplösungen.
    – Einen guten Router mit aktueller Firmware. Wer hier spart, spart am falschen Ende. Wiederum bei vorhandenem Wissen: OpenWrt ist eine Routersoftware, bei der zusätzliche Sicherheitsmechanismen implementiert werden können. Aber das ist wirklich was für Aficionados. Eine Fritz-Box genügt, aber, noch einmal: Aktuell halten. Keine Portweiterleitung einrichten. Sichereres Zugriffs-Passwort im Router eintragen. Kein WLAN.
    – Verschlüsselung von Daten, die die Kanzlei verlassen. Keine Ausnahmen. Schulungen hierzu.

    Ich bin natürlich auch nur Jurist, mache aber, glaube ich, lange genug Datenschutz, um Risiken und deren Eindämmung einschätzen zu können: Ich glaube nicht, dass J-lawyer hier das Problem ist.

3 Beiträge anzeigen - 1 bis 3 (von insgesamt 3)
  • Du musst angemeldet sein, um zu diesem Thema eine Antwort verfassen zu können.